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基于 Petri 网 的 APT 攻击 模型 生成 方法 


杜 镇 宇 ， 刘 方正 ， 李 辟 宏 
(国防 科技 大 学 电子 对 抗 学 院 , 合肥 230037) 


摘 要 : 在 严峻 的 APT (advanced persistent threat) 攻击 防御 背景 下 ， 针 对 现 有 网 络 攻击 建 模 方法 无 法 反映 APT 攻击 
的 攻击 特点 的 问题 ， 建 立 了 基于 Petri 网 的 APT 攻击 模型 。 借 助 Petri 网 ， 首 先 针 对 APT 攻击 的 特点 及 生命 周期 ， 建 
立 APT 攻击 的 基本 Petri 网 模型 ; 然后 设计 并 实现 针对 具体 APT 攻击 的 APTPN (advanced persistent threat petri nets ) 
模型 的 生成 算法 ， 该 算法 能 够 生成 具体 APT 攻击 的 完整 的 攻击 路 径 ， 并 能 够 对 APT 攻击 进行 检测 及 预测 ; 最 后 实验 
通过 模拟 极光 攻击 验证 了 算法 的 有 效 性 及 正确 性 ， 并 能 够 根据 收集 到 的 报警 信息 预测 攻击 者 下 一 步 的 攻击 手段 。 
关键 词 : Petri 网 ; APT; APTPN; 建 模 ; 攻击 路 径 

中 图 分 类 号 : TP309.2 doi: 10.3969/j.issn.1001-3695.2018.01.0041 


Modeling method for advanced persistent threat based on Petri 


Du Zhenyu, Liu Fangzheng, Li Yihong 
(Electronic confrontation Institute, National University of Defense Technology University, HeFei 230037, China) 


Abstract: Against the background of severe APT attack defense, aiming at the fact that the existing network attack modeling 
methods can not reflect the attack features of APT attacks, this paper established an APT attack model based on Petri nets. With 
Petri nets, it first established the basic Petri net model of APT attacks according to the characteristics and life cycle of APT 
attacks. Then, it designed and implemented the algorithm of generating APTPN (advanced persistent threat petri nets) model to 
generate its complete attack path against a specific APT attack. Finally, experiments verify the effectiveness and correctness of 
the algorithm by simulating auroral attacks. 
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步 等 性 质 的 信息 系统 ， 可 以 利用 Petri 网 进行 有 效 描述 和 分 析 。 
同时 ， 使 用 Petri 网 在 对 APT 攻击 建 模 上 具有 以 下 几 点 好 
自 2010 年 开始 ，APT (advanced persistent threat) 攻击 成 处 : a) 通过 对 Petri 网 中 库 所 及 变迁 节点 的 映射 ， 可 以 对 APT 
为 取代 传统 黑客 攻击 的 一 种 重要 的 攻击 手段 ， 进 入 网 络 安全 工 ”攻击 手段 、 攻 击 流程 进行 详细 的 建 模 ， 经 过 映射 后 的 Petri 网 对 
作者 的 视野 ， 并 呈现 出 愈演愈烈 的 趋势 凸 。 于 攻击 手段 刻画 的 粒度 更 细 ; b) Petri 网 可 以 添加 时 间 序 列 ， 适 
对 于 日 益 严 肃 的 网 络 安全 态势 ， 作 为 受害 者 ， 应 采取 手段 ”应 于 APT 攻击 具有 潜伏 时 间 长 、 攻 击 阶段 明显 的 特点 ; c) Petri 


0 引言 


进行 积极 防御 .现行 的 APT 防御 流程 主要 以 被 动 防御 为 主 * 4， 网 可 以 添加 颜色 集 , 为 APT 攻击 状态 中 的 攻击 序列 的 完成 程度 
即 在 危害 发 生 之 后 采取 手段 对 其 进行 检测 防御 ,而 当前 APT 威 ” 提供 很 好 的 描述 手段 , 使 建立 的 APT 攻击 模型 能 直观 地 反映 出 
胁 由 于 危害 程度 高 、 打 击 速度 快 等 特性 ， 被 动 防御 的 思想 及 手 ”当前 威胁 级 别 ， 级 别 越 高 的 威胁 ， 可 以 作出 优先 响应 ， 从 而 提 
段 已 不 能 满足 其 防御 态势 。 高 APT 攻击 防御 能 力 ; d) Petri 网 可 以 对 有 向 绝 进 行 赋值 ， 因 

因此 ， 如 何 变 被 动 防御 为 主动 防御 ， 在 攻击 任务 达成 之 前 。” 而 可 以 对 建立 好 的 APT 攻击 行为 Petri 网 的 每 条 攻击 路 径 、 转 


根据 攻击 模型 对 攻击 路 径 及 发 生 的 可 能 性 进行 威胁 估计 是 当前 ” 换 关 系 赋 值 ;e) 使 用 Petri 网 对 APT 攻击 流程 、 生 命 周 期 建 模 ， 
应 重点 研究 的 问题 ， 这 其 中 的 首要 问题 是 建立 一 个 合适 的 攻击 。 能 够 克服 以 往 建 模 方 式 中 存在 大 量 循环 路 径 的 问题 。 因 此 ， 本 


模型 。 文选 择 Petri 网 建立 APT 攻击 模型 。 

Petri 网 [9 作为 分 布 式 系统 建 模 和 分 析 的 工具 , 具有 严格 数 罗 森 林 等 人 叫 以 漏洞 为 基本 下 es 提出 一 种 基于 时 间 
学 定 人 Petri 网 不 仅 能 够 描述 过 程 的 静 ”Petri 网 的 渗透 测试 攻击 模型 构建 方法 ， 通 过 单 漏 洞 利用 模型 整 
态 结构 ， 还 可 以 模拟 过 程 运行 中 动态 行为 ， 对 于 有 具有 并 发 、 异 ”合成 渗透 测试 攻击 模型 。 黄 光 球 等 人 外 提出 一 种 针对 信任 攻击 
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的 面向 对 象 Petri 网 建 模 技 术 , 利用 改写 后 的 信任 关系 重建 规则 ”法 能 够 自动 生成 APT 攻击 元 路 径 序 列 , 通过 该 序列 能 够 直观 地 
定义 信任 攻击 Petri 网 ， 模 拟 了 信任 攻击 的 场景 。 吴 迪 等 人 四 提 显示 攻击 者 的 攻击 意图 及 攻击 方式 ， 以 便 提 前 防御 ， 缩 短 APT 
出 一 种 基于 着 色 Petri 网 CCPN) 的 原子 攻击 的 建 模 方法 , 基于 防御 周期 ， 有 效应 对 APT 攻击 。 

主机 权限 及 主机 脆弱 性 节点 定义 一 个 基本 的 原子 攻击 的 Petri 

网 模型 。 上 述 基 于 Petri 网 的 网 络 攻击 建 模 方法 完成 了 对 单一 网 


1 基于 Petri 网 的 APT 攻击 模型 


络 攻击 的 建 模 ， 包 括 渗透 测试 攻击 、 信 任 攻击 以 及 原子 攻击 ， 1.1 APT 攻击 阶段 性 特点 分 析 
而 这 些 建 模 方法 无 法 针对 APT 攻击 特点 对 完成 对 APT 攻击 的 杀 链 代 C (intrusion kill chain ) 模型 00 使 用 攻击 链 来 同时 


建 模 ， 其 他 的 针对 APT 攻击 的 建 模 方法 也 存在 一 定 问 题 。 黄 永 者 述 APT 攻击 的 各 个 阶段 以 及 其 攻击 手段 , 存在 两 点 不 足 : a) 
洪 等 人 09 基 于 攻击 图 提出 一 种 APT 风险 属性 攻击 图 模型 的 构 ”其 对 于 APT 攻击 阶段 的 划分 存在 缺漏 , 即 缺 少 撤 收 阶段 , 通常 ， 
建 方法 ， 而 该 方法 却 没 有 给 出 合理 的 威胁 表示 。 王 辉 等 人 t1 将 。 ”在 APT 攻击 过 程 中 , 攻击 者 在 完成 攻击 之 后 , 会 进行 日 志清 除 、 
贝 叶 斯 理论 引入 网 络 攻 击 图 ， 基 于 贝 叶 斯 网 络 攻 击 图 模型 对 网 ”文件 损毁 、 注 册 表 重 写 等 一 系列 动作 来 防止 被 溯源 ， 而 这 个 过 
络 攻 击 内 部 状态 进行 形象 化 描述 ， 虽 然 给 出 了 威胁 表示 ， 但 是 。 程 中 也 会 产生 一 定 的 可 分 析 行 为 ， 并 可 作为 判别 依据 加 入 到 检 
仅 针对 于 简单 的 原子 攻击 ， 对 于 复杂 的 APT 攻击 无 能 为 力 。 测 系 统 中 去 ; b) 该 模型 对 于 攻击 阶段 的 考虑 的 粒度 过 细 , 而 从 
因此 ， 本 文 针对 APT 的 阶段 性 特点 及 其 生命 周期 基于 ”攻击 方式 方面 考虑 的 粒度 过 粗 。 
Petri 网 , 建立 APT 攻击 的 Petri 网 模型 , 同时 以 该 模型 为 基础 ， 本 文 基于 IKC， 改 进 其 完整 性 不 足以 及 存在 元 余 的 问题 ， 
提出 一 种 APT 攻击 路 径 生成 算法 ， 生 成 APT 攻击 路 径 。 该 算 。 ”对 APT 的 攻击 阶段 进行 了 重新 划分 ， 如 图 1 所 示 。 


| 


= | 
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图 1 APT 攻击 阶段 划分 模型 


1) 目标 扫描 阶段 ”通过 网 络 疏 虫 、 网 络 扫描 、 漏 洞 探测 、 ”伪装 成 相 熟 人 将 该 钓鱼 邮件 发 送 给 被 攻击 者 ， 引 诱 其 点 击 附 件 


拓扑 发 现 、 社 会 工程 学 信息 等 主要 技术 对 被 攻击 目标 的 节点 属 。 中 的 链接 。 

性 、 漏 洞 信息 、 用 户 习惯 、 主 机 信息 、 弱 口令 、 系 统 安装 的 防 (c) 当 被 攻击 者 经 常 使 用 外 界 存 储 设 备 转移 数据 时 ， 如 

火 墙 、IDS、 杀 毒 软件 等 相关 信息 进行 探测 , 为 下 一 步 攻 击 提供 ” USB 存储 设备 、 外 接 投影 仪 、 打 印 机 等 ， 可 将 攻击 工具 事先 加 

言 息 支撑 。 载 到 这 些 外 接 设备 上 , 当 受 害 者 将 该 被 感染 的 外 接 设 备 接 入 时 ， 
2) 工 具 定制 与 投递 阶段 ”通过 对 上 一 阶段 扫描 得 到 的 相关 ”恶意 代码 等 会 自动 释放 到 被 攻击 主机 上 ,实现 攻击 工具 的 投放 。 

言 息 的 进一步 分 析 整 合 ， 针 对 攻击 目标 的 特点 量 身 定做 合适 的 3) 潜伏 提 权 阶段 ”在 该 阶段 中 , 攻击 者 通过 上 一 阶段 投放 

攻击 工具 ， 具 体 包括 特种 木马 、 恶 意 代 码 等 ， 并 将 这 些 隐藏 到 ”的 恶意 代码 打开 与 用 户 通 信 的 渠道 ， 进 一 步 操 作 提 升 攻击 者 权 


网 页 链接 、PDF、Office、 外 接 存 储 设备 等 。 在 这 个 阶段 ， 攻击 。“” 限 为 下 一 步 做 铺垫 。 通 常 在 上 一 阶段 夹带 或 隐匿 的 恶意 代码 
者 会 依靠 上 一 阶段 的 用 户 习 惯 来 选择 攻击 工具 。 于 受到 用 户 操作 等 客观 限制 ， 其 大 小 及 功能 都 只 能 是 微小 的 ， 


(a) 当 被 攻击 者 经 常 访问 某 一 特定 网 站 , 但 其 访问 方式 大 ”其 目的 只 是 打开 一 个 小 小 的 缺口 ， 让 攻击 者 能 够 执行 下 一 步 操 
多 依赖 于 搜索 引擎 时 ， 攻 击 者 可 制作 男 一 相关 网 站 ， 并 将 攻击 。 作 。 因 此 ， 在 该 阶段 有 三 种 常见 情况 : 
工具 夹带 到 该 网 站 上 ， 引 诱 受 害 者 点 击 。 通 常 该 网 页 仅 对 被 害 (a) 带 有 横向 移动 功能 的 恶意 代码 会 在 受害 者 不 知情 的 情 
群体 可 见 ， 而 其 他 人 不 在 钓鱼 名 单 上 的 不 相关 人 员 则 显示 为 ” 况 下 感染 受害 主机 的 其 他 磁盘 、 文 件 系 统 ， 搜 寻 敏感 文件 ， 等 
404 error。 待 回 传 。 

(b) 当 被 攻击 者 经 常 使 用 邮件 进行 通信 时 , 可 以 将 攻击 工 (b) 带 有 自动 下 载 功 能 的 恶意 代码 会 在 用 户 联网 操作 时 打 


有 具 隐匿 在 邮件 中 ， 邮 件 内 容 通 常 是 受害 者 感 兴趣 的 话题 ， 或 者 。 开 事 先 写 好 的 恶意 链接 , 下载 并 安装 具有 更 强 功 能 的 恶意 代码 ， 
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可 能 是 记录 键盘 操作 、 找 贝 
段 内 其 他 主机 并 收集 信息 等 


全 
用 。 


(c) 带 有 开启 服务 功能 
空 制服 务 、 文 件 传输 端口 、 


用 户 账 号 信息 等 实现 对 


目标 主机 的 远程 控制 。 


日 志 信息 、 修 改 注 册 表 项 、 扫 描 网 
一 切 有 利于 攻击 者 下 一 步 操作 的 功 


的 恶意 代码 会 打开 受害 主机 的 远程 
数据 库 操作 端口 等 相关 服务 ， 盗 取 


在 这 一 阶段 里 , 若 直 


灾 攻 击 的 目标 主机 不 能 完成 攻击 目的 ， 


可 以 实现 目标 的 扩展 移动 ， 


通过 对 上 述 操作 的 全 部 循环 ， 或 以 


该 受害 主机 做 跳板 机 通过 对 上 述 操作 的 部 分 循环 入 侵 内 网 其 他 


主机 。 
4) 通 信 控 制 阶段 
目标 主机 的 控制 ， 因 此 在 该 


攻击 者 通过 上 述 阶 段 的 积累 


的 通信 控制 ， 可 以 远程 执行 命令 ， 
择 与 攻击 目标 相符 的 相关 数据 。 


已 经 实现 对 
阶段 ， 攻 击 者 开始 实现 与 受害 主机 


P={Pijli=0,1,2,…,6;j=0,1,2,…,N}, 库 所 集 。 一 个 库 所 包含 两 


个 部 分 ， 


是 攻击 目标 当前 状态 ， 


ChinaXiv 会 从 


网 的 APT 攻 


期 和 


型 生成 方法 


杜 镇 宇 ， 等 : 基于 Petri 网 


二 是 攻击 者 获得 资源 。 表 示 


为 二 元 组 的 形式 ， 即 Pij=<Sij,Vij>， 且 Sij={ajj=1,2,*…n}、 
Vij={aili=1,2,…,n}，aj 是 主机 与 初始 状态 相 比 ， 发 生 改变 的 资 
源 编号 ;， ai 是 攻击 发 起 方 获得 的 资源 编号 。 当 攻击 目标 是 一 台 
主机 时 ， 其 攻击 目标 状态 即 为 该 主机 状态 。 同 时 ，i 为 所 处 阶段 


编号 ，j 为 所 处 子 阶段 编号 。 

库 所 分 为 主 库 所 及 辅助 库 所 到 
攻击 源 的 动作 ， 而 是 
库 所 | 
充 。 


来 表示 


对 收集 的 数据 进行 筛选 并 选 


xx 


类 ,通常 APT 攻击 不 是 单个 


多 个 攻击 源 共同 完成 的 合作 攻击 ， 辅 助 
其 他 攻击 源 完 成 的 对 其 主 库 所 之 后 的 变迁 的 补 


同时 ,针对 APT 攻击 的 阶段 性 特点 ,将 模型 根据 上 述 阶 自 
进行 划分 ， 在 每 个 阶段 或 子 阶段 的 开始 及 结束 均 有 一 个 库 所 节 


点 ， 用 于 标志 其 开始 状态 及 结束 状态 。APT 攻击 模型 中 的 库 所 


5) 目 标 达成 阶段 在 这 一 阶段 攻击 者 完成 了 对 攻击 目标 的 。 含义 见 表 2。 
所 有 攻击 操作 ， 开 始 实现 攻击 目标 ， 达 成 任务 目的 。 针 对 任务 PO 
目的 不 同 ， 主 要 有 两 个 方面 : 

(a) 窃 密 性 APT 攻击 。 这 类 攻击 主要 以 窃取 敏感 数据 为 。 ” 库 所 ?8 ( 芭 市 目标 当前 状态 V (攻击 者 区 得 资源 ) 
目的 ， 因 此 该 阶段 完成 对 敏感 文件 的 回 传 操作 po S0， 攻 击 受害 方 的 初始 状 

Cb) 破坏 型 APT 攻击 。 这 类 攻击 主要 以 影响 、 干 扰 、 破 ee 
坏 目标 的 正常 运行 为 目的 ， 通 过 删除 文件 、 修 改 用 户 权 限 、 破 pll 无 变化 ，S0 交 网 络 )a3( 电 话 号 码 )a4( 邮 箱 
坏 内 网 主机 等 毁坏 操作 达成 任务 目的 。 账号 )..} 

6) 撤 收 维护 阶段 APT 攻击 是 隐蔽 的 , 有 的 受害 主机 遭受 Pl2 。 无 变化 ，S12-S1-80 vp 


攻击 而 不 知情 ， 当 后 果 严 重 时 才 会 有 所 反映 。 通 


止 被 溯源 或 者 被 阻止 ， 会 为 


若 攻击 目标 是 一 个 长 期 目标 


可 。 这 个 阶段 ， 攻 击 会 销毁 攻击 工具 、 擦 除 入 侵 痕 迹 、 
志 记 录 、 淹没 内 存 等 来 完成 攻击 的 撤 收 。 其 次 ， 


攻击 者 为 防 
自己 留 有 撤退 通道 ， 方 便 攻击 者 撤 
履 盖 攻 


， 攻 击 者 在 完成 阶段 性 目标 后 ， 会 


掩盖 侵入 痕迹 、 潜 伏 在 目标 主机 中 ， 继 续 保持 对 目标 的 监控 ， 


等 待 下 一 次 攻击 的 开始 。 
1.2 ”模型 建立 


点 , 针对 APT 攻击 过 程 中 的 


基于 Petri 网 的 APT 攻击 模型 是 根据 APT 攻击 的 阶段 性 特 


攻击 流程 、 使 用 的 攻击 方法 及 攻击 


方式 建立 的 。 通 过 将 APT 攻击 中 的 基本 要 素 与 Petri 网 中 基本 


元 素 的 映射 ,能 够 建立 出 包含 APT 攻击 路 径 的 APT 攻击 模型 。 
映射 关系 见 表 1。 
表 1 基本 元 素 映射 关系 
Petri 网 APT 攻击 
库 所 攻击 者 资源 以 及 攻击 目标 状态 
变迁 攻击 手段 
有 向 弧 攻击 状态 转换 


APT 攻击 的 Petri 网 模型 


时 是 一 个 九 元 组 APTPN (advanced 


persistent threat petri nets)， 公 式 形式 记 为 


APTPN=<P，T， 
其 中 : 


F, W, Ly G, ts H, KkK> 


P1 无 变化 ，S1=…=S0 


P21 ”无 变化 ，S21=S1=…=S0 


有 变化 ，S2={al=( 下 载 并 
安装 恶意 工具 )} 

有 变化 ，S31={S2,al=( 下 
载 并 安装 恶意 程序 ),a2=( 
弱 节 点 暴露 )…} 

有 变化 ，S32={S31,al=( 启 
动 项 被 修改 ),a2=( 管 理 员 密 
码 被 修改 ),a3=( 注 册 表 被 修 
改 ),a4=( 被 设置 后 门 )…} 


P2 


P31 


CR 


P32 


无 变化 ，S3={S32,…} 


pA1 有 变化 ，S3={S3,al(cl 服 
务 器 ),…} 


无 变化 ，S4={S41…} 
有 变化 ，S51={S4,al={ 信 
奶 丢 失 },a2={ 信 息 加 
密 },a3={ 权 限 更 改 },…} 


P4 


P51 


无 变化 ，S5={S51…} 
P61 有 变化 ，S61=S0 


P6 无 变化 ，S6={S61…} 


V1={V11,V12,.…} 
V21={V1,al( 制 作 好 的 包含 恶 
意 程序 的 工具 ),…} 


V2={V21,.…} 


V31={V2,al={ 攻 击 入 
},a2={ 脆 弱 节 点 }…} 


V32={V31,al=( 后 门 ),a2=( 当 前 
管理 员 密 码 ),a3=( 远 程 服务 端 
号 )…} 


V3={V32,…} 
V41={V3,al(c2 服务 器 ),a2( 主 
机 中 文档 信息 ),a3( 主 机 系统 关 

键 信息 )…} 


V4={V41,.…} 


QI 


V51={V4,al={ 重 要 
息 },a2={ 主 机 权限 }， 


V5={V51,.…} 
V61={V5} 


V6={V61} 
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T={Tijk|i=0,1,2,…,6;j=1,2,…,M;k=1,2,…,M”}, 变迁 集 . 变 号 的 形式 ,第 一 位 为 所 处 阶段 编号 、 第 二 位 为 所 处 子 阶 段 编号 、 
迁 是 对 当前 APT 攻击 阶段 中 攻击 方法 的 描述 。 变 迁 采 用 三 位 编 第 三 位 为 所 处 变迁 位 置 编号 。 有 具体 见 表 3。 
表 3 变迁 含义 及 对 应 关系 
二 攻击 意图 及 主要 行为 变迁 编号 及 对 应 攻击 方法 
人 主要 行为 攻 市 意图 变迁 编号 。 攻击 方法 变迁 编号 攻击 方法 
T111 人 肉 搜索 T112 社交 网 络 
标 扫描 阶段 1 收集 攻击 目标 的 社会 工程 学 信息 搜索 、 欺 骗 等 T113 网 络 钓鱼 T114 反 向 社工 
进一步 收集 目标 网 络 的 配置 信 T121 端口 扫描 T122 代码 分 析 
标 扫描 阶段 2 ” 息 、 拓 扑 结构 等 ， 以 及 系统 用 户 扫描 、 嗅 探 等 T123 SQL 语句 探测 T124 Ping 存活 主机 
的 个 人 资料 T125 网 络 怜 虫 
T211 j 户 习惯 T212 钓鱼 网 站 
针对 搜集 目标 信息 制定 攻击 计 
工具 定制 与 投递 水 坑 、 钓 鱼 等 T213 水 坑 网 页 T214 恶意 邮件 
划 、 定 制 攻击 工具 、 定 向 投递 
T215 外 接 木 马 
发 现 目标 的 脆弱 节点 ， 侵 入 目标 下 载 程 序 、 打 开端 口 T311 横向 移动 T312 下 载 恶意 程序 
潜伏 提 权 阶段 1 罗 
系统 ， 传 播 恶意 程序 等 T313 打开 远程 服务 
T321 修改 密码 T322 修改 启动 项 
深入 入 侵 目 标 节点 ， 稳 定 侵入 状 搭建 后 门 、 修 改 系 统 、 
潜伏 提 权 阶段 2 T323 变更 角色 组 T324 修改 注册 表 
态 ， 帮 助攻 击 者 下 一 步 攻 击 大 态 等 
T325 预 置 后 门 
进入 到 攻击 目标 ， 查 询 所 需 信 本 T411 可 传 数据 T412 流量 异常 
通信 控制 阶段 ek 命令 执行 ， 数 据 回 传 
息 ， 与 攻击 者 远程 通信 T413 远程 执行 指令 
T511 可 传 数据 T512 加 密 数 据 
标 达 成 阶段 完成 任务 窃 密 、 破 坏 T513 删除 文件 T514 修改 权限 
T515 破坏 内 网 主机 
T611 销毁 攻击 工具 T612 擦 除 入 侵 痕 迹 
撤 收 维护 阶段 防止 被 溯源 、 方 便 下 一 次 攻击 清除 痕迹 T613 履 盖 攻击 数据 T614 删除 日 志 记 录 
T615 淹没 内 存 
F={Fiji=count(PxT，TxP)}， 有 癌 弧 集 。PxT 表示 P 了 是 T 的 G:G 一 PxT, 取 值 为 {0,1}, 变迁 触发 条 件 , 对 于 每 一 个 变迁 ， 
前 驱 库 所 ; TxP 表示 了 是 工 的 后 继 库 所 ， 同 时 集合 中 元 素 个 数 该 值 由 其 前 驱 库 所 的 状态 决定 ， 当 前 驱 库 所 的 状态 满足 触发 条 
小 于 M*N。 件 ， 则 其 取 值 为 1， 表示 该 变迁 可 以 完成 ; 否则 为 0， 继续 等 待 


W:F—Q, 权重 函数 。 其 SS 


中 Q 为 有 理 数 集 ， 即 W 是 有 向 弧 


F 对 有 理 数 集 的 映射 函数 ， 取 值 表示 有 向 弧 的 权重 ， 是 一 个 权 
值 函数 。 表 示 为 W=[WijJINxM， 其 中 N=|P|，M=|T|， 则 
到 (75 下) 马 是 五 的 后 继 库 所 
WwW 如 是 五 的 前 驱 库 所 
0 其 他 
其 中 : WPD) 、WGPs 7) 为 弧 标注 值 。 
对 于 辅助 库 所 来 说 ， 辅 助 库 所 的 W 和 矩阵 表示 方法 是 在 W 
和 矩阵 中 添加 列 向 量 PP， 表示 一 个 变迁 是 否 有 辅助 库 所 。 若 有 则 
为 1; 没有 则 为 0。 对 于 为 1 的 矩阵 元 素 ， 建 立 其 辅助 库 所 关联 
矩阵 W”， 其 中 W ”的 定义 方法 与 W 一 致 。 
L={AND, OR}, 库 所 间 逻 辑 关 系 集 。 能 够 描述 当 某 一 变迁 
的 完成 需要 辅助 库 所 时 的 库 所 间 关 系 。 且 取 值 为 AND 时 ， 表 
示 当 前 两 库 所 相互 依赖 ， 只 有 同时 满足 触发 条 件 后 ， 才 可 进行 


下 一 步 操作 。 


前 驱 库 所 的 状态 变化 。 若 其 前 驱 
L=AND 时 ， 需 当主 库 所 及 辅 
时 ， 取 值 为 1。 

t={tijkli=0,1,2,…, 


区 库 所 不 唯 


6;j=1,2,…, 


M;k=1,2,…,M 


， 存 在 辅助 库 所 且 


助 库 所 的 状态 同时 满足 触发 条 件 


，}， 变 迁 持续 时 


间 。 描 述 从 开始 到 
库 满足 变迁 函数 的 时 刻 ， 
的 时 刻 。 
H={Hijli=0,1,2,…, 


6;j=1,2,"**,M;k=1,2,."* 


让 


A 
o 
Sa 


吉 束 所 经 历 的 时 间 ， 开 始 时 刻 定义 为 其 前 驱 
结束 时 刻 为 其 后 继 库 所 发 生 


状态 转移 


,M”}, 为 变迁 命题 
来 对 变迁 的 状态 进行 判定 ，H 一 {0,1})。 


K={Kijli=0,1,2,*…,6;]=0,1,2,*…* 
所 的 状态 进行 判定 ，K 一 {0,1}。 


,N} ? 库 所 pHD 人 


i 位 


来 对 库 


APT 攻击 的 Petri 网 模型 的 图 形式 见 图 2。 


1.3 “模型 分 析 
对 于 Petri 网 的 分 析 ， 主 要 分 析 其 性 质 ， 
活性 、 可 达 性 以 及 覆盖 性 [19。 


性 、 


守恒 性 、 


包括 有 界 性 、 安 全 
分 析 方 法 包括 可 达 
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录用 稿 杜 镇 宇 ， 等 : 基于 Pe 


树 及 可 达 图 。 周 建 涛 等 人 [证 明 可 达 图 相 较 于 可 达 树 在 Petri 网 ”模型 的 可 达 图 。 
的 活性 及 可 达 性 分 析 上 具有 优势 。 图 3 是 APT 攻击 的 Petri 网 


一 本 本 一 一 + 工具 定制 与 投递 了 一 一 潜伏 提 权 “一 一 让 < 一 通信 控制 目标 达成 一 革 < 一 撒 收 维护 一 
从 N 本 A 
RN 和 AN al 他 入 ou 
时 TD2 ) eo. | ) T312 T322 TH2 os T52 稚 / El 
po jy 人 和 Pt 辽 p31 p32 p3 p41 m \ArFN 了 5 /ra p6 
TI113, , (3 723// T1313 T323, T413 Vay } el 
pl p21 p31 bel | p61 
T114 : 1 W214 T324 EE V614 
T615 
图 2 APT 攻击 的 Petri 网 模型 
(1,0,0,0,0,0) 
| 才 刘 
Tl ses 

(0,1,0,0,0,0) 
oe | 攻击 数据 库 Da APT 报 千 

(0,0,1,0,0,0) . 

人 生成 a APT 攻 击 的 
和 md 漏洞 数据 库 4 一 一 一 漏洞 信息 加 入 ) Petri 网 模型 
(0,0,0,1,0,0) ; \ 
| 方式 数据 库 | 4 一 一 [一 其 他 攻击 信息 
T411... \ V 
(0,0,0,0,1,0) 
更 新 
T511 。。 
(0,0,0,0,0,1) 
图 3 APT 攻击 的 Petri 网 模型 的 可 达 图 图 4 模型 构建 框架 
APT 攻击 的 Petri 网 全 模型 是 一 个 通用 的 模型 ， 针 对 不 同 构建 过 程 是 : 首先 通过 现存 的 APT 报告 、 漏洞 信息 以 及 其 


的 APT 攻击 来 说 ， 其 具体 模型 存在 差异 。 对 于 一 次 APT 攻击 也 攻击 信息 生成 基础 的 攻击 数据 库 、 漏 洞 数据 库 以 及 方式 数据 
来 说 ,其 从 攻击 开始 到 攻击 完成 是 在 有 限 的 攻击 步骤 内 完成 的 ， 库 ; 然后 根据 基础 的 三 大 数据 库 构 建 APT 攻击 模型 ; 最 后 当 有 
虽然 对 于 某 一 个 具体 APT 攻击 的 攻击 步骤 数量 不 同 , 但 模型 在 ”新 的 信息 被 发 现 并 被 收集 时 ， 依 据 类 别 判断 其 是 否 在 基础 数据 


库 所 和 变迁 的 数量 上 均 有 界 ， 不 是 无 限 的 ， 因 此 ，APT 攻击 的 库 中 。 如 果 在 ， 则 丢弃 该 条 信息 ; 若 不 在 ， 则 将 该 信息 加 入 到 
Petri 网 模型 可 以 处 理 模型 中 组 合 爆炸 的 问题 。 模型 中 ， 同 时 更 新 数据 库 
在 模型 中 ， 库 所 状态 的 转换 是 通过 变迁 触发 完成 的 ， 其 托 攻击 数据 库 是 包含 APT J APT 攻 


肯 值 表示 当前 库 所 状态 是 否 满足 可 以 触发 变迁 的 状态 ， 其 取 值 ” 击 完整 信息 的 数据 库 。 在 该 数据 库 中 包含 是 APT 组 织 名 称 、 
只 有 0 和 1 两 种 ,因而 符合 安全 性 的 判定 条 件 , 所 以 APT 攻击 APT 报告 附件 、 提 取 的 APT 攻击 特征 三 个 部 分 。 
的 Petri 网 模型 满足 安全 性 及 有 界 性 。 同 时 ， 在 该 模型 中 ， 变 迁 漏洞 数据 库 则 依托 于 CVE (common vulnerabilities and 
是 由 攻击 方式 决定 的 ， 只 有 攻击 发 生 ， 其 变迁 存在 ， 由 变迁 发 exposures) 等 漏洞 数据 库 建 立 , 但 其 内 容 上 只 包含 APT 攻击 中 
生变 换 的 库 所 存在 ， 因 而 模型 不 存在 不 可 达 的 库 所 节点 ， 模 型 “利用 的 漏洞 。 这 可 能 存在 两 种 情况 : a) 漏 洞 已 知 , 对 于 已 知 的 漏 
具有 可 达 性 。 洞 利用 ， 则 根据 从 CVE 中 查询 到 的 信息 输入 到 漏洞 数据 库 中 ; 
模型 构建 的 过 程 是 一 个 动态 过 程 。 现 有 的 建 模 技 术 ， 其 生 ” b) 漏 洞 未 知 ， 若 APT 攻击 使 用 的 是 0day 漏洞 或 尚未 披露 的 漏 
成 的 攻击 模型 具有 自 限 性 , 当 出 现 变 种 攻击 或 新 的 攻击 行为 时 ， ” 洞 ， 则 根据 截获 到 的 样本 以 及 报告 等 将 漏洞 名 称 、 利 用 方式 、 
模型 中 缺乏 应 对 方法 。 而 基于 Petri 网 生成 的 APT 攻击 模型 是 。” 危害 程度 输入 到 漏洞 数据 库 中 。 
对 其 现 有 APT 攻击 中 使 用 的 攻击 手段 等 进行 整理 ， 整 合 现 方式 数据 库 中 的 主要 内 容 是 APT 攻击 中 的 TTPs (tactics、 
APT 攻击 特点 建立 的 ， 因 而 模型 的 构建 应 能 够 动态 调整 ， 当 出 techniques & procedures) 特征 ， 是 攻击 者 的 攻击 方式 及 攻击 子 
现 新 的 APT 攻击 行为 时 ， 模 型 能 够 自 适应 地 进行 加 入 、 融 合 或 ”法 的 表示 .以 APT 攻击 中 的 阶段 性 特点 对 TTPs 特征 进行 区 分 ， 
丢弃 。 图 4 是 模型 构建 框架 。 方式 数据 库 中 包含 攻击 者 各 个 阶段 表现 出 的 TTPs 特征 。 


m 
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在 模型 应 ) 


j 方 


区 


摆 , 该 模型 能 够 有 利于 对 于 APT 攻击 的 检测 


和 预测 。 


表达 式 法 
或 发 生 
包含 在 


在 检测 上 ， 医 
息 集 {Alerti,Alert2,.. 
E05] 或 专家 系统 来 
的 概率 P(Px)， 进 而 通过 已 判定 完 
库 所 在 内 的 APT 攻击 是 否 发 生 。 


中， 通过 
I 法 4 或 构建 多 


5 所 示 的 元 模型 的 应 | 
利用 模糊 判 另 
判定 模型 中 某 一 库 所 Px 是 否 


.Alertirx}, 可 


在 预测 上 , 根据 


已 发 生 库 所 ， 外 
Txti, 通过 


提供 预 判 


识别 这 些 变迁 
， 以 便于 提前 部 署 ， 


E 够 在 模型 中 找到 该 


主动 防御 。 


| 
ea ,Alerti} :Pl Pi 


. {Alert1,Alert2** al tL. a 
加 


Px 


和 


Pirn 


5 APT 攻击 的 Petri 网 元 模型 的 应 用 


2 APTPN 模型 生成 算法 


一 条 APT 攻击 路 径 是 指 


引入 信 
辑 
已 发 生 
成 的 多 个 库 所 来 判定 
判定 的 
该 库 所 的 一 个 或 多 个 后 继 变迁 
所 表示 的 攻击 手段 , 能够 为 安全 工作 者 


由 攻击 元 路 径 组 成 的 序列 ， 记 为 : 


(Pitd,Tj+td,Pitd+1)} 。 
Tj 与 Pitl 连通 。 


通 


SI 


击 路 径 。 
结束 的 

例如 图 3 
可 表示 为 : 


(P2,T311,P31), 


杜 镇 宇 ， 


当 Pk 为 撤 收 完成 节点 时 ， 此 时 攻击 路 径 为 一 
即 从 攻击 起 点 


等 : 基于 Pe 


标 选 定 开 


中 的 红色 路 


始 到 攻击 


一 系列 攻击 元 路 径 组 成 的 序列 。 
径 即 表示 一 条 完整 的 APT 攻击 路 径 ， 


其 中 (Pi,Tj,Pk) 为 攻击 元 路 径 ，Pi 与 本 


连 


APT v 合 估 期 4 A 


i 


条 完整 的 攻 
终点 一 撤 收 完成 


{ (PO,T111,P11), (P11,T121,P1) ,(P1,T211,P2), 


(P31,T32 


(P5,T611,P61)}. 


2.1 


算法 基本 思想 


给 和 


算法 的 


向 弧 关系 ,进而 生成 一 


的 针 天 


四 
J 不 绍 丰 


和 推理 
6 


条 完整 的 APT 攻 训 
APT 攻击 的 APTPN 模型 。 
生成 连通 序列 集 、 
攻击 元 序列 集 ; 


1,P3), (P3,T411,P4), 


算法 主要 


思路 图 如 图 
多 个 连通 元 序列 组 


所 示 。 


三 是 攻击 路 径 


成 。 


络 中 主 


{<SIP1,DIP1,1>,<SIP2,.DIP2,1>,… 


<SIPi,DIPi,1> 为 连通 元 序列 。 


机 间 


连 通 情 况 ， 


,<SIPn,DIPn,1>} 。 


连通 序列 可 描述 


目标 


记 


(P4,T511,P5), 


库 所 和 变迁 ， 生 成 库 所 与 变迁 之 间 的 有 
路径， 最 后 建立 完整 
分 成 三 个 
变迁 序列 集 以 及 库 
生成 。 


网 
为 


及 中 : 


{ (PO,T1,P1), (P1,T2,P2), … ,(Pi,Tj,Pi+1), (Pi+1,Tj+1,Pi+2) … ， 
| 而 元 
[| i i 六 
| 
2 Wn < Ne Flag> 一 ne | 
变迁 T 一 一 - | 
PP Flee) 
| 
图 6 基于 Petri 网 模型 的 APT 攻击 路 径 生 成 算法 基本 思想 
连通 元 序列 是 指 ， 当 源 主机 可 向 目的 主机 发 送 数据 包 时 ， 其 中 : 
称 源 主机 与 目的 主机 连通 。 记 为 <SIP,DIP, Flag>。 其中: SIP 为 P0 为 变迁 发 生 的 起 点 库 所 。 
源 卫 。 Pd 为 变迁 结束 时 的 终点 库 所 。 
DIP 为 目的 人 P。 T 为 变迁 名 称 。 
Flag 为 标志 位 ， 当 为 1 时 ， 表 示 该 元 序列 为 连通 元 序列 。 Flag 为 标志 位 ， 当 为 2 时 ， 表 示 该 元 序列 为 变迁 元 序列 。 
通过 该 连通 序列 可 以 很 好 地 描述 主机 之 间 的 连通 情况 。 该 通过 该 序列 能 够 描述 变迁 发 生 的 前 提 条 件 和 结果 状态 。 该 
序列 是 基于 网 络 拓扑 图 、 存 活 主 机 人 信息、 防火墙 配置 等 相关 信 序列 的 生成 是 基于 漏洞 数据 库 和 变迁 数据 库 实现 的 ， 其 中 漏洞 
息 建立 的 ， 通 过 对 上 述 信 息 的 整合 生成 能 够 描述 现行 网 络 环 境 ”数据 库 主 要 描述 主机 存在 漏洞 的 相关 信息 ， 而 变迁 数据 库 是 基 
的 连通 性 。 于 APT 攻击 的 Petri 网 模型 的 变迁 构建 的 ， 通 过 对 这 两 个 数据 
变迁 序列 由 多 个 变迁 元 序列 组 成 。 变 迁 序列 可 描述 变迁 发 ” 库 的 信息 提取 以 及 主机 脆弱 性 和 可 能 采取 的 攻击 方式 的 匹配 即 
生前 后 库 所 状态 变化 ， 记 为 {<IP1,P01,Pd1,T1,2>， 能 得 到 描述 一 次 变迁 的 变迁 序列 。 
<IP2,P02,Pd2,T2,2> ， ,<IPnP0n,Pdn,Tn2>} 。 其 中 库 所 序列 由 多 个 库 所 元 序列 组 成 。 库 所 序列 可 描述 目标 网 
<IPi,P0i,Pdi,Ti,2> 为 变迁 元 序列 。 络 中 各 个 主机 当前 库 所 状态 ， 记 为 {<IP1,P1，3>，<IP2,P2， 
变迁 元 序列 是 指 ， 当 变迁 发 生 的 主机 库 所 状态 达到 P0 时 ， 3>,…,<IPn,Pn,3>}。 其 中 <IPi,Pi，3> 为 库 所 元 序列 。 库 所 元 序 


变迁 工 可 发 和 


E, 且 发 生 后 , 库 所 状态 为 Pd, 记 为 <P0,Pd,T,Flag>。 


列 是 指 ， 主 机 卫 当前 的 库 所 状态 为 P， 记 为 <IPP，Flag>。 其 
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中 :IP 为 主机 IP。 


P 为 该 卫 当前 库 所 。 


Flag 为 标志 位 ， 当 为 3 时 ， 表 示 该 元 序列 为 库 所 元 序列 。 
源 人 P 的 库 所 状态 为 
的 IP 的 库 所 状态 转换 成 Pd， 并 
的 人 P 通过 变迁 T 可 达 ， 记 为 <SIP,DIP,P0,Pd,T， 


攻击 元 路 径 是 通过 推理 和 
P0 时 ， 变 迁 工 发 生 ， 且 导致 
称 源 IP 与 
Flag>。 其 中 : 

SIP 为 起 点 IP。 

DIP 为 终点 人 P。 

P0 为 起 点 IP 的 库 所 。 


000,111 001 


导 到 的 , 表示 当 


010 


011 


杜 镇 宇 ， 等 : 


Pd 为 终点 卫 的 库 所 。 


Flag 


在 逻辑 推理 器 中 


库 所 、 变 迁 


列 组 合 规律 ， 共 有 


为 标志 位 ， 


基于 Petri 网 的 APT 攻 


当 为 4 时 ， 表 示 


ChinaXiv 会 从 


为 攻击 生 元 路 径 。 


二 厂 在 


上 种 推 


以 及 后 继 库 所 ， 若 相同 记 为 0， 不 同 记 为 1。 


23=8 种 组 合 方式 ， 分 别 为 000、001、 
111。 而 000 与 111 表示 同一 种 情况 ， 因 
7 是 七 种 库 所 及 变迁 医 


I 


011、100、101、110、 
此 共有 七 种 逻辑 关系 。 图 
是 : 

2 全 Sy 篇 Ss Eh 
< < 是 
fe 

mew 
和 7 EN 
3 (Sy > 3 


100 101 


110 


a 


YA 
英 型 


里 。 对 于 路 径 中 出 现 的 前 引 


果 关 系 ， 分 另 


[< 


根据 排 
010、 


图 7 基于 Petri 网 模型 的 APT 攻击 路 径 生 成 算法 基本 思想 
同时 ， 观 察 上 述 七 种 推理 关系 ， 可 得 到 四 种 库 所 及 变迁 关 后 。 
系 类 型 〈 图 8)， 即 : (b ) 一 个 变迁 可 有 多 个 后 继 库 所 。 一 个 攻击 手段 完成 之 后 ， 
上 二， 可 能 有 多 个 系统 状态 同时 发 生 改 变 。 例 如 ， 在 暴力 破解 密码 成 
功 后 ， 由 于 设 密码 时 产生 的 惯性 思维 ， 受 害 者 可 能 对 不 同 主机 
或 系统 设置 相同 的 密码 ， 所 以 其 破解 得 到 的 密码 可 不 只 匹配 到 
一 台 主 机 或 系统 ， 即 一 个 变迁 发 生 后 ， 可 有 多 个 库 所 状态 发 生 
六 四 (9 加 (c) 一 个 变迁 可 有 多 个 前 驱 库 所 。 一 个 攻击 手段 的 完成 可 
能 不 止 需要 一 个 系统 状态 , 在 APT 攻击 中 , 一 个 攻击 任务 的 完 
图 8 L=AND 的 四 种 库 所 与 变迁 节点 的 关系 机 | 加 本 
成 往往 不 是 由 单个 人 或 组 织 完成 的 ， 而 是 由 多 个 攻击 源 之 间 共 
(a) 一 个 库 所 可 有 多 个 后 继 变 迁 。 一 个 系统 状态 节点 后 可 享 资源 ， 分 工 合作 完成 的 ， 因 而 一 个 变迁 可 能 对 应 的 前 驱 库 所 
能 有 多 种 攻击 手段 节点 , 通常 在 APT 攻击 中 , 某 一 系统 状态 下 不 止 一 个 
攻击 者 为 达到 下 一 攻击 目标 可 使 用 的 攻击 方式 不 只 一 种 ， 即 在 (Cd) 一 个 库 所 可 有 多 个 前 驱 变 迁 。 一 个 库 所 节点 的 状态 变 
一 个 库 所 下 可 能 有 多 个 变迁 。 当 其 中 一 个 变迁 完成 时 ， 系 统 状 ”化 可 能 需要 由 多 个 变迁 同时 发 生 才 能 达到 触发 条 件 。 
态 发 生 相 应 改变 到 一 个 库 所 节点 ， 又 会 有 多 个 变迁 节点 在 其 之 在 逻辑 推理 器 中 存在 的 其 中 推理 如 下 : 
推理 1: 001 住 理 2: 010 推理 3: 011 住 理 7: 000,111 
前 提 : 前 提 : 前 提 : 前 提 : 
<IP1,IP2,1>,<IP1,IP3,1> <IP1,IP2,1> <IP1,IP2,1>,<IP1,IP3,1> <IP1,IP2,1> 
<P1,P2,T1,2>,<P1,P3,T1,2> <P1,P2,T1,2>,<P1,P2,T2,2> <P1,P2,T1,2>,<P1,P3,T2,2> <P1,P2,T1,2> 
<IP1,P1,3> <IP1,P1,3> <IP1,P1,3> <IP1,P1,3> 
结果 : 结果 : 结果 : 结果 : 
<IP1,IP2,P1,P2,T1,4> <IP1,IP2,P1,P2,T1,4> <IP1,IP2,P1,P2,T1,4> <IP1,IP2,P1,P2,T1,4> 
<IP1,IP3,P1,P3,T1,4> <IP1,IP2,P1,P2,T2,4> <IP1,IP3,P1,P3,T2,4> Null 
L=AND L=AND L=AND L=OR 
推理 4: 100 推理 5:; 101 推理 6: 110 
前 提 : 前 提 : 前 提 : 
<IP1,IP2,1>,<IP3, 卫 2,1> <IP1,IP2,1>,<IP3, 卫 4,1> <JIP1,IP2,1>,<IP3,IP2,1> 


<P1,P2,T1,2>,<P3,P3,T1,2> 
<IP1,P1,3>,<IP3,P3,3> 
结果 : 
<IP1,IP2,P1,P2,T1,4> 
<IP3,IP2,P3,P2,T1,4> 
L=AND 


<P1,P2,T1,2>,<P3,P4,T1,2> 
<IP1,P1,3>,<IP3,P3,3> 
结果 : 
<IP1,IP2,P1,P2,T1,4> 
<IP3,IP4,P3,P4,T1,4> 
L=AND 


<P1,P2,T1,2>,<P3,P2,T2,2> 
<IP1,P1,3>,<IP3,P3,3> 


结果 : 


<IP1,IP2, 
<IP3,IP2, 


L=AND 


P1,P2,T1,4> 
P3,P2,T2,4> 
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录用 稿 杜 镇 宇 ， 等 : 基于 了 hi 全 人 天 。 
同时 ，APT 攻击 分 为 窃 密 型 攻击 及 破坏 型 攻击 两 种 。 以 窃 。 指针 所 指 的 漏洞 编写 与 表 头 生成 变迁 序列 ， 从 变迁 数据 库 中 补 
密 型 攻击 为 例 ， 若 攻击 者 的 攻击 目标 是 位 于 目标 主机 上 的 秘密 。 充 其 他 变迁 序列 ; 
信息 {M}, 则 初始 时 的 库 所 状态 应 为 <S,O>, 而 攻击 任务 达成 时 第 三 步 : 构建 库 所 序列 矩阵 ; 
的 库 所 状态 应 为 <S-{M},{M}>。 } 
最 后 ， 通 过 对 攻击 元 路 径 集 的 深度 优先 遍历 ， 即 可 得 到 完 // 路 径 生 成 函数 
整 的 APT 攻击 路 径 。 SFSO 
2.2 算法 设计 与 实现 { 
算法 伪 代 码 如 下 : 第 一 步 : 判断 当前 库 所 序列 、 变 迁 序列 以 及 连通 序列 中 的 
/信息 获取 函数 ， 输 入 是 〈 连 通信 息 表 ,漏洞 信息 表 ， 端 元 素 的 推理 情况 编号 
信息 表 ， 地 址 信息 表 ) 第 二 步 : 依据 当前 推理 编号 推理 出 攻击 元 序列 ; 
INS(thrs,vuls,pors,ips) 第 三 步 : 深度 优先 遍历 攻击 元 序列 集 ， 得 到 攻击 路 径 ; 
} 
第 一 步 : 从 地 址 信息 表 中 未 每 一 个 地 址 以 ip 作为 表 头 , 新 ”2.3 算法 分 析 
建 一 个 空 链 表 ; 算法 主要 包括 三 个 函数 , 即 信息 获取 函数 .序列 生成 函数 、 
第 二 步 : 将 表 头 的 指针 域 指向 输入 信息 中 ， 以 该 ip 为 起 点 路径 生成 函数 。 
可 达 的 终点 ip; 将 该 连通 信息 从 连通 信息 表 中 删 去 ; 计数 器 1 加 信息 获取 包括 连通 信息 、 漏 洞 信息 、 端 口 信息 以 及 地 址 信 
1; 息 。 在 存储 形式 上 ， 算 法 采用 链表 的 形式 进行 存储 ， 即 每 一 个 
If 连通 信息 表 中 关于 该 ip 的 信息 为 空 主机 及 服务 器 以 下 简称 脆弱 节点 〉 单独 形成 一 个 链表 。 表 头 
更 改 表 头 ip， 返 回 第 二 步 ; 是 脆弱 节点 的 地 址 信息 ， 后 面 则 依次 链接 该 脆弱 节点 可 以 访问 
Else if 连通 信息 表 为 空 的 其 他 节点 地 址 、 该 脆弱 节点 自身 的 漏洞 编号 、 该 脆弱 节点 自 
转 到 第 三 步 ; 身 开 放 的 端口 号 。 
Else 序列 生成 包括 连通 序列 、 变 迁 序 列 及 库 所 序列 的 生成 。 对 
返回 第 二 步 于 连通 序列 ， 从 表 头 开始 后 的 第 二 个 单元 取 地 址 与 表 头 形成 连 
第 三 步 : 将 当前 指针 域 指 向 表 头 ip 的 漏洞 信息 ; 并 将 该 条 ” ” 通 序 列 。 对 于 变迁 序列 ， 链 表 中 存储 的 只 包含 漏洞 信息 ， 而 实 
信息 从 漏洞 信息 表 中 删 去 ， 计 数 器 2 加 1; 际 的 变迁 还 应 包括 目标 扫描 等 阶段 的 信息 ， 这 部 分 的 信息 从 变 
If 漏洞 信息 表 中 关于 该 ip 的 信息 为 空 迁 数据 库 中 获取 。 库 所 序列 与 连通 序列 和 变迁 不 同 ， 库 所 序列 
更 改 表 头 ip， 返 回 第 三 步 ; 是 随 着 变迁 的 发 生 而 逐渐 变化 的 ， 因 而 构建 库 所 序列 矩阵 。 库 
Else if 连通 信息 表 为 空 所 序列 矩阵 的 行 向 量 为 脆弱 节点 ， 列 向 量 为 单一 变迁 ， 和 矩阵 中 
转 到 第 四 步 ; 的 单个 元 素 表 示 该 脆弱 节点 在 当前 变迁 发 生 之 后 的 后 继 库 所 状 
Else 态 。 
返回 第 三 步 路 径 生 成 是 算法 的 核心 部 分 ， 该 部 分 主要 依据 上 文中 的 七 
第 四 步 : 将 当前 指针 域 指向 表 头 ip 的 端口 信息 ; 并 将 该 条 ” ”个 推理 ， 对 库 所 及 变迁 可 能 存在 的 七 种 关系 生成 攻击 元 路 径 。 
信息 从 端口 信息 表 中 删 去 ; 计数 器 3 加 1; 其 核心 是 应 用 正 语句 的 判断 。 
If 端口 信息 表 中 关于 该 ip 的 信息 为 空 算法 的 时 间 复 杂 度 主要 在 序列 集 遍 历 上 ， 采 用 深度 优先 遍 
更 改 表 头 ip， 返 回 第 四 步 ; 历 , 若 采用 邻接 表 作 为 存储 形式 , 则 其 时 间 复 杂 度 为 (IVI+|E|); 
Else if 端口 信息 表 为 空 若 采 用 邻接 矩阵 作为 存储 形式 ， 其 时 间 复 杂 度 为 e (|vP)。 而 对 
返回 链表 计数 器 1,2,3 的 值 ; 于 APTPN 模型 来 说 ， 遍 历 的 是 攻击 元 路 径 序 列 ， 其 中 模型 的 
Else 顶点 数量 即 是 库 所 序列 中 库 所 的 数量 6N , 边 的 数量 即 是 变迁 序 
返回 第 四 步 列 中 变迁 的 数量 6MM"。 因 此 ， 算 法 的 时 间 复 杂 度 可 以 控制 在 
} e (N?) 以 内 ， 即 O (CN2)。 
/序列 生成 函数 ， 输 入 是 信息 获取 阶段 生成 的 链表 3 ”模拟 实验 及 结果 分 析 
SEQ(L) 
{ 3.1 实验 设计 
第 一 步 : 取出 链表 中 从 表 头 开始 的 第 一 个 指针 到 计数 器 1 模拟 实验 的 目的 是 检验 APTPN 模型 生成 算法 的 有 效 性 及 
个 指针 所 指 的 地 址 与 表 头 生成 连通 序列 ; 正确 性 。 实验 采取 模拟 已 知 的 APT 攻击 一 一 谷歌 极光 攻击 来 拱 
第 二 步 : 取出 链表 中 从 计数 器 加 1 到 计数 器 加 计数 器 2 个 ” 建 实验 局 域 网 。 通 过 使 用 模型 生成 算法 生成 该 实验 局 域 网 的 
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杜 镇 字 ， 等 : 基于 了 sh inaXi 例 候 i I 
APTPN 模型 ， 验 证 算法 的 有 效 性 。 并 通过 将 生成 的 APTPN 模 服务器， 同时 可 以 访问 子 网 1 中 的 主机 1; 网 2 中 的 主机 2 可 
型 与 真实 的 极光 攻击 作对 比 ， 验 证 算法 的 正确 性 。 以 访问 邮件 服务 器 及 主机 3、4; 子 网 3 中 的 主机 3 可 以 访问 主 
于 APT 攻击 具有 针对 性 、 持 续 性 ， 当 选 定 一 个 攻击 目标 。 机 4; 主机 1、FTP 服务 器 、 主 机 2 及 3 可 以 访问 Web 服务 器 
后 , 攻击 者 会 采取 各 种 手段 , 不 计 成 本 地 对 其 展开 攻击 。 因此， 和 后 台 服 务 器 。 
实验 的 攻击 目标 与 极光 攻击 的 攻击 目标 一 一 邮件 服务 器 一 致 。 然后 获取 实验 局 域 网 中 的 漏洞 扫描 结果 。 实 验 环 境 中 能 
探测 到 的 漏洞 多 于 表 5 所 示 的 漏洞 ， 表 5 中 所 示 漏 洞 仅 包含 实 
验 所 利用 的 漏洞 。 其 中 条 件 列 仅 写 出 最 低 权 限 ， 而 结果 列 仅 写 
出 最 高 权限 。 例 如 ， 若 条 件 是 外 部 用 户 ， 则 User 及 Root 权限 
时 , 条 件 也 满足 ; 若 结果 是 root, 则 结果 也 可 达 外 部 用 户 及 User 
权限 。 其 中 权限 关系 为 递 进 关系 ， 即 外 部 用 户 <User<Root。 根 
据 横 型 中 库 所 定义 以 及 局 域 网 中 主机 及 服务 器 的 漏洞 情况 ， 获 
ea | 有 和 取 实 验 中 所 包含 的 库 所 ， 见 表 6。 
Be 可 ”可 4 根据 局 域 网 中 的 漏洞 列表 、APT 攻击 的 流程 特点 以 及 模型 
四 中 的 变迁 定义 ， 获 取 实 验 中 的 变迁 及 其 前 驱 和 后 继 库 所 ， 见 表 
vases 7 
图 9 ”模拟 极光 攻击 搭建 局 域 网 表 5 实验 中 各 主机 及 服务 器 的 漏洞 列表 
编号 ”CVE 编号 漏洞 信息 条 件 结 
实验 模拟 谷歌 极光 攻击 ， 搭 建 如 图 9 所 示 的 局 域 网 ， 各 主 CVE-2013-2249 mod_ session dbd 模块 安全 漏洞 外 部 用 户 Root 
机 均 建 立 在 虚拟 机 上 和 运行。 为 更 加 接近 真实 的 网 络 情况 ， 采 用 H1 CVE-2012-2687 HTML 注入 漏洞 User Root 
虚拟 机 桥接 模式 模拟 DMZ 区 中 主机 ,采用 虚拟 机 NAT 模式 模 CVE-2011-3607 函数 的 整数 溢出 漏洞 User Root 
拟 子 网 1， 采 用 虚拟 机 Host-only 模式 模拟 子 网 2 及 子 网 3。 本  H2 CVE-2008-4250 服务 器 服务 漏 泊 部 用 户 User 
实验 的 攻击 目标 是 子 网 2 中 的 邮件 服务 器 。 具 体 的 实验 配置 见 Hs 30030497 ld A 
yy CVE-2014-0407 虚拟 机 组 件 漏 沁 User Root 
二 CVE-2013-3940 ” 图形 设备 接口 整数 溢出 漏洞 ”外 部 用 户 User 
表 4 实验 中 使 用 主机 及 服务 器 配置 情况 CVE-2013-5065 内 核 中 执行 并 特权 提升 User Root 
主机 名 称 。 ”网络 模式 主机 公 操作 系统 。 编号 Hs “E2013-3346 执行 Reader 进程 中 的 恶意 代码 外 部 用 户 User 
WEB 服务 器 。 直 连 主机 192.168.42.88 (DHCP) Apache 2.4.2 HI CVE-2014-4971 内 存 写 入 数据 外 部 用 户 Root 
后 台 服 务 器 ”桥接 模式 192.168.42.111 (DHCP) Win Server 2003 SP2 H2 H6 ee ns ee a 
FTP 服务 器 。 NAT 模式 192.168.193.129 (DHCP) Win 2000 HFS Server H3 CVE-2010-1117 。 Explorer 8 堆 缓冲 区 溢出 漏洞 。 外 部 用 户 User 
主机 1 NAT 模式 192.168.193.130 (DHCP) Win XP SP3 H4 H7 CVE-2015-0084 安全 功能 绕 过 漏洞 User Root 
邮件 服务 器 Host-only 模式 ”192.168.117.222 (手工 ) Win XP SP3 HS H8 CVE-2012-1853 ”远程 管理 协议 栈 溢出 漏洞 ” 外 部 用 户 Root 
主机 2 ”Host-only 模式 ”192.168.117.111 (手工 ) Win XP SP3 H6 
主机 3 ”Host-only 模式 ”192.168.120.111 (手工 ) Win 7 SP2 H7 表 6 库 所 含义 列表 
主机 4 ”Host-only 模式 ”192.168.120.222 (手工 ) Win XP SP3 H8 目标 状态 攻击 者 资源 目标 状态 攻击 者 资源 
PO0 S0=S V0=@ P36 S36={ 漏 洞 利 用 } V36={H4 (User) } 
于 实验 中 虚拟 机 的 NAT 模式 只 能 设置 一 次 ,所 以 其 他 子 P11 S11=S V11={ 基 本 信息 } ”P37 S37={ 漏 洞 利用 } V37={H4 (Root) } 
网 只 能 采用 Host-only 模式 。 而 同时 Host-only 模式 无 法 实现 各 p12 S12=S V12={ 社 工 信 息 } P38 S38={ 漏 洞 利 用 } V38={H3 (User) } 
子 网 间 的 连通 ， 进 而 无 法 更 加 准确 地 模拟 真实 的 网 络 环境 。 为 Pl S1=S V1={ 漏 洞 列表 } ”P39 S39={ 漏 洞 利用 } V39={H3 (Root) } 
解决 上 述 问 题 ， 实 验 在 子 网 1 与 2 之 间 以 及 子 网 2 与 3 之 间 设 P21 S21=S V21={ 恶 意 代码 } P3 ”S3={ 漏 洞 利用 } ”V3={H6 (Root) } 
网 关 ， 以 实现 子 网 间 的 连通 。 P22 S22=S V22={ 服 务 器 } P41 S41=S3 V41={ 回 传 通道 } 
以 子 网 2 与 3 之 间 的 网 关 为 例 。 实 验 中 网 关 设 置 包 括 两 个 Ba V2-f 的 鱼 。 p42 S42-{ 漏 润 利用 ) V42-{H5 CUser) } 
部 分 ,一 是 为 网 关 添加 两 个 网 卡 ， 并 设置 他 及 网 关 地 址 ; 二 是 P31 S31={ 漏 洞 利 用 } V31={H2 (User) } P4 S4=S41-{ 信 息 } V4={ 信 息 } 
打开 路 由 转发 服务 并 设置 路 由 转发 规则 。 P32 S32={ 漏 洞 利 用 } V32={H8 (Root) } P41 S41=S3 V41={ 回 传 通道 } 
3.2 实验 内 容 P33 S33={ 漏 洞 利 用 } V33={H7 (User) } P5  S5=S4-{M} V5={M} 
首先 获取 实验 局 域 网 中 的 连通 情况 。 局 域 网 中 的 主机 及 服 。 4 s34-( 漏 洞 利 用 ，V34-fH7 (RooD } p51 851284 V5I(HS (RooD) ) 
务 器 连通 情况 如 下 : 局 域 网 中 Web 服务 器 可 以 访问 子 网 1 中 的 。 ms s35- 人 漏洞 利用 V35-tH CRooD )p6 SG-S-IM VE 


主机 1; 


网 1 中 的 FTP 服务 器 可 以 访问 子 


网 


2 及 3 中 的 主机 及 


~ phimnaX i 会 1 作 甘 车 || 
录用 入 pe 
表 7 实验 中 变迁 及 变迁 的 前 驱 、 后 继 库 所 列表 对 于 库 所 序列 ， 由 于 库 所 序列 是 随 着 变迁 的 发 生 而 不 断 更 
变迁 含义 。 前 驱 库 所 后 继 库 所 ”变迁 含义 。 前 驱 库 所 后 继 库 所 ” 产 及 改变 的 ， 所 以 为 直观 地 描述 出 其 由 攻击 开始 到 攻击 完成 的 
人 肉 搜索 P0 Pll CVE-2013-3940 “P2 P35 P36 状态 变化 ， 以 各 主机 及 服务 器 的 权限 变化 来 体现 实验 中 的 库 所 
社交 网 络 P0 P12 CVE-2013-5065 P35P36 P37 变化 。 初 始 时 ， 各 主机 及 服务 器 的 权限 均 为 外 部 用 户 ， 随 着 变 
漏洞 扫描 PIl1PI2 Pl CVE-2008-0407  P2 p38 迁 的 发 生 , 库 所 的 状态 也 会 发 生变 化 , 设 外 部 用 户 为 0, User 为 
制造 恶意 代码 P1 P21 CVE-2014-0407P36P37P38 P39 1，Root 为 2， 则 构建 主机 、 服 务 器 与 变迁 的 权限 变化 矩阵 ， 其 
伪造 服务 器 Ls B22 CVE201050249 ‘<P2 P3 中 每 一 列表 示 在 当前 变迁 下 的 各 主机 及 服务 器 的 权限 ， 并 且 只 
设置 “钓鱼” P21P22  P2 CVE-2013-3346 P2P3 Ee 标记 发 生变 化 的 主机 及 服务 器 ， 对 于 在 该 变迁 下 未 发 生变 化 的 
CVE-2008-4250 cP2 P31 CVE-2014-4971 P2 P3 P42 P51 记 为 0。 使 用 模型 生成 算法 ， 根 据 上 文中 的 推理 过 程 ， 根 据 生 
CVE201271853 成 的 连通 序列 、 变 迁 序列 以 及 库 所 变化 矩阵 ， 生 成 当 攻击 目标 
CVE-2010-1117 “了 P2 P32 P33 信息 回 传 P41 P4 为 邮件 服务 器 时 的 APT 攻击 路 径 ， 如 图 10 所 示 。 
CVE-2015-0084 P32P33 ”P34 ” 渗透 进入 P4 P51 
a a i a Ne 在 上 述 模拟 极光 攻击 生成 的 APTPN 模型 中 ， 共 含 潜在 的 
OO a Da pal pa Se 要 Be 攻击 路 径 107 条 。 对 比 真实 的 极光 攻击 ， 其 中 模型 中 的 目标 扫 
B01 16033 papal bas 描 阶 段 与 真实 的 极光 攻击 完全 吻合 ， 即 模型 中 P0 一 P1 的 攻击 
过 程 ， 真 实 极光 攻击 的 工具 定制 与 投递 阶段 是 通过 伪造 带 有 钓 
3.3 ”实验 结果 分 析 鱼网 页 的 虚假 服务 器 来 向 主机 2 发 送 恶 意 代码 的 , 即 模型 中 P1 
根据 局 域 网 中 主机 与 服务 器 的 连通 情况 构建 其 连通 序列 ， 一 P22 的 攻击 过 程 ;真实 的 极光 攻击 的 潜伏 提 权 阶段 采用 的 攻 
具体 的 连通 序列 见 表 8。 然 后 构建 实验 局 域 网 中 的 变迁 序列 。 击 路 径 是 由 外 网 直接 攻击 主机 2， 并 经 由 主机 2 渗透 进入 邮件 
实验 中 设备 主机 及 服务 器 的 初始 库 所 状态 为 <S0,V0>， 服务 器 ， 即 模型 中 P2 一 P3 的 攻击 过 程 ， 通 信 控 制 阶段 是 通过 
S0=S,V0=@, 即 初始 情况 下 , 各 目标 状态 为 $, 攻击 者 获得 资源 建立 SSL 隧道 进行 信息 回 传 的 , 即 模型 中 P3 一 P4 的 攻击 过 程 ; 
为 8。 根据 实验 中 得 到 的 变迁 的 前 驱 和 后 继 表 ， 得 到 变迁 序列 。 模型 中 的 目标 达成 阶段 与 撤 收 维护 阶段 也 与 真实 的 极光 攻击 完 
表 ， 如 表 9 所 示 。 全 吻合 ， 即 模型 中 P4-P51-~~P5-~P6 的 攻击 过 程 。 


表 8 连通 序列 表 


连通 序列 

<192.168.117.111,192.168.120.222,1> 
<192.168.120.111,192.168.120.222,1> 
<192.168.193.129,192.168.42.88,1> 
<192.168.193.129,192.168.42.111,1> 
<192.168.117.111,192.168.42.88,1> 
<192.168.117.111,192.168.42.111,1> 


<192.168.42.88,192.168.193.130,1> 
<192.168.193.129,192.168.117.222,1> 
<192.168.193.129,192.168.117.111,1> 
<192.168.193.129,192.168.120.111,1> 
<192.168.193.129,192.168.120.222,1> 
<192.168.193.129,192.168.193.130,1> 


<192.168.117.111,192.168.117.222,1> 

<192.168.117.111,192.168.120.111,1> 
<192.168.120.111,192.168.42.88,1> 
<192.168.120.111,192.168.42.111,1> 


<P0,P11,T111,2> 
<P0,P12, 工 12,2> 
<P11,P1,T121,2> 
<P12,P1,T121,2> 
<P1,P21,T211,2> 
<P1,P22,T212,2> 
<P21,P2,T221,2> 


<P32,P33,T313,2> 
<P32,P34,T321,2> 
<P33,P34,T331,2> 
<P2,P35,T314,2> 
<P33,P34,T332,2> 
<P34,P35,T332,2> 
<P31,P35,T332,2> 


<P35,P36,T315,2> 
<P35,P37,T351,2> 
<P36,P37,T351,2> 
<P2,P38,T316,2> 
<P36,P39,T361,2> 
<P37,P39,T361,2> 
<P38,P39,T361,2> 


<P3,P42,T413,2> 
<P2,P5,T412,2> 
<P3,P41,T411,2> 
<P41,P4,T421,2> 
<P3,P5,T412,2> 
<P42,P5,T412,2> 
<P4,P51,T511,2> 


<P22,P2,T221,2> 
<P2,P31,T311,2> 
<P2,P32,T312,2> 
<P2,P33,T313,2> 
<P2,P3,T317,2> 
<P38,P3,T362,2> 
<P39,P3,T362,2> 


<P33,P35,1333,2> 
<P34,P35,T333,2> 
<F31,P35,1333;2> 
<P2,P36,T315,2> 
<P2,P3,T317,2> 
<P38,P3,T362,2> 
<P2,P42,T413,2> 


Hi .. 


五 
万 3 


Ha … 


Hs 
Hs 
Hi’ 


Hs .…. 


a 


Ln 


731 T3122 7313 7314 7315 7 了 316 7317 7321 7 了 331 Ta32 7 了 333 7351 7361 736 7 了 41 Ta2 Ta Ts 
0 0 0 2 0 0 0 0 0 2 2 0 0 0 0 0 0 0 
1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 
0 0 0 0 0 1 0 0 0 0 0 0 2 0 0 0 0 0 
0 0 0 0 1 0 0 0 0 0 0 2 0 0 0 0 0 0 
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 多 0 2 
0 0 0 0 0 0 2 0 0 0 0 0 0 2 0 0 0 0 
0 0 1 0 0 0 0 2 2 0 0 0 0 0 0 0 0 0 
0 2 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 


Ts Toa 
0 0 
0 0 
0 0 
0 0 
0 0 
0 0 
0 0 
0 0 
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录用 


未 发 生 的 攻击 行为 , 但 由 


稿 


其 余 的 攻击 路 径 则 是 可 能 发 生 但 却 在 真实 的 极光 莉 
于 APT 攻击 的 持续 性 和 上 长 共 


潜在 的 攻击 路 径 能 够 为 APT 攻击 的 


外 > 


确定 性 


表 10 所 示 的 人 


发 生 之 前 


同时 ， 在 实验 用 
写 息 外 


百 / 汤 \ 才 


， 对 只 


表 10 实验 主机 及 流量 侧 收 集 信息 


潜在 攻击 路 径 的 防御 
E 带 来 的 危害 。 


hinaXiy 合 人 
tri 网 的 APT 攻击 模 


期 和 


杜 镇 宇 ， 等 : 基于 Pe 型 生成 方法 


> > > > > > (0) 


Ta21 Pa T1511 P51 T1521 f T6ll  P6 


T412 


T317 


图 10 ”横批 


中 


ET 


性 ? 这 些 


， 能 够 ; 


防御 提供 依据 。 通 过 在 攻击 
成 小 APT 攻击 的 不 


lit 


o 


内 主机 侧 和 流量 


则 收集 相关 信息 ， 得 到 如 


极光 攻 训 


Ff 的 APTPN 模型 
模型 ， 设 计 并 实现 针对 APT 攻击 的 Petri 网 模型 ， 通 过 对 库 所 


及 变迁 的 映射 ， 该 模型 能 够 较 好 地 体现 出 APT 攻击 的 针对 性 、 
阶段 性 、 持 续 性 特点 ; 
生成 算法 ， 该 算法 能 够 
APT 攻击 路 径 ， 并 且 算 法 复杂 


i 


不 变 的 情况 下 ,而 对 于 不 同 APT 组 织 的 不 同 攻击 


不 适 | 


编号 


时 间 


内 


容 


源 了 PP 


源 端 口 目的 端口 


1 


2 


有 


19:32 


1933 


19:00 


19:30 


1 


19.32 


2122 


21:23 注册 表 添 加 未 知 键 值 
21:25 未 知 探测 数据 包 发 送 


IPsweep 


portsweep 


收 到 好 友 的 


访问 未 知 


CPU 消耗 异常 


未 知 程序 执行 


DNS 


浏览 器 溢出 


192.168.42.11 

192.168.42.11 
8 件 
域名 


192.168.42.11 


192.168.42.11 


192.168.42.11 


92.168.117， 


192.168.117.111 


192.168.117.111 


92.168.117: 


192.168.42. 


192.168.42. 


192.168.117. 


192.168.117. 


192.168.117. 


192.168.42. 


ll 443 1344 


ll 443 1344 
1 80 443 
ll 443 1157 
11 443 Ts7 
11 443 1344 


443 


者 下 一 步 的 攻击 手段 。 通 过 进 


根据 表 10 中 信 
P2， 而 P2 的 后 置 变迁 在 模 


息 ， 可 根据 信息 3 
晶 中 包含 9 个 为 1{T311, T312, T313， 
T314, T315, T316, T317, T412, T413} ， 这 些 变迁 均 可 能 是 攻 训 


判定 此 时 


己 完 成 库 所 是 


Et 


步 收集 信息 , 本 


信息 4、 5 及 


6 判定 此 时 已 完成 的 库 所 是 P3， 而 后 置 变迁 只 有 三 个 为 T411、 


T412、T413 。 其 含义 为 建立 回 传 通 
此 可 以 根据 基于 APTPN,， 以 
则 攻击 者 下 一 步 的 攻击 手段 以 及 检测 是 否 已 发 生 APT 攻击 。 
的 是 专家 系统 法 对 库 所 进行 判定 ， 该 方法 主 
是 到 的 方法 计算 库 所 
提高 说 服 力 。 


拟 极 光 攻 击 ， 利 ) 
APTPN 模型 。 创 新 点 有 两 个 : a) 


实验 中 ， 采 | 


专 通 道 


和 相关 漏 
| 定 为 已 发 生 的 


洞 的 漏洞 利用 。 
库 所 为 起 点 , 预 


性 较 强 ， 而 在 实际 


结束 语 


本 文 的 工作 包含 三 个 部 分 : a) 根 据 APT 攻击 特点 建立 基于 
Petri 网 的 APT 攻击 模型 ，b) 设 计 APTPN 模型 生成 算法 
模型 及 模型 生成 算法 ， 生 成 极光 攻击 的 


结合 


作 中 可 利用 2.3 节 ] 
E 的 概率 ， 减 少 主观 性 ， 增 加 准确 率 和 


; c) 模 


以 往 网 络 攻击 的 Petri 网 


b) 依 据 该 模型 ,设计 并 实现 APTPN 模型 
自动 生成 针对 特定 局 域 网 内 攻击 目标 的 

度 可 以 控制 在 O(N?)。 

是 是 建立 在 同一 APT 组 织 的 攻击 目标 

标 , 算法 


但 是 本 文 算法 的 前 


二 


同时 针对 生成 的 攻击 路 径 进行 量化 ， 预 测 其 发 生 


j。 因 此 , 下 一 步 的 工作 应 着 重 丰 


究 模型 生成 算法 的 扩展 ， 
的 可 能 性 。 
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